域名系統安全擴充套件(DNSSEC)是一種安全技術,它將幫助修補網際網路的弱點之一。我們很幸運SOPA沒有透過,因為SOPA會把DNSSEC定為非法。
DNSSEC為一個網際網路根本沒有安全保障的地方增加了關鍵的安全保障。域名系統(DNS)執行良好,但在這個過程中沒有任何驗證,這給攻擊者留下了漏洞。
我們已經解釋了DNS在過去是如何工作的。簡而言之,每當你連線到一個域名谷歌網站“或”tl80.cn網站,“您的計算機與其DNS伺服器聯絡,並查詢該域名的相關IP地址。然後,您的計算機連線到該IP地址。
重要的是,DNS查詢中不涉及驗證過程。您的計算機要求其DNS伺服器提供與網站相關的地址,DNS伺服器用IP地址響應,您的計算機說“好的!“很高興能連線到那個網站。你的電腦不會停下來檢查這是否是一個有效的響應。
攻擊者有可能重定向這些DNS請求或設定惡意DNS伺服器以返回錯誤響應。例如,如果您連線到公共Wi-Fi網路並嘗試連線到tl80.cn網站,則該公共Wi-Fi網路上的惡意DNS伺服器可能會返回完全不同的IP地址。IP地址可能會導致你到一個釣魚網站。您的web瀏覽器沒有真正的方法來檢查IP地址是否與tl80.cn網站;它只需信任從DNS伺服器接收到的響應。
HTTPS加密確實提供了一些驗證。例如,假設您嘗試連線到銀行的網站,並且在位址列中看到HTTPS和鎖定圖示。您知道證書頒發機構已驗證該網站屬於您的銀行。
如果您從受損的接入點訪問銀行網站,並且DNS伺服器返回冒名頂替者仿冒網站的地址,仿冒網站將無法顯示HTTPS加密。然而,釣魚網站可能會選擇使用純HTTP而不是HTTPS,打賭大多數使用者不會注意到這一區別,無論如何都會輸入他們的網上銀行資訊。
你的銀行沒有辦法說“這些是我們網站的合法IP地址。”
DNS查詢實際上分幾個階段進行。例如,當您的計算機要求www.tl80.cn,您的計算機將分幾個階段執行此查詢:
DNSSEC涉及“對根進行簽名”。當您的計算機詢問根區域在哪裡可以找到.com時,它將能夠檢查根區域的簽名金鑰,並確認它是具有真實資訊的合法根區域。然後根區域將提供有關簽名金鑰或.com及其位置的資訊,允許您的計算機聯絡.com目錄並確保其合法性。.com目錄將為提供簽名金鑰和資訊tl80.cn網站,允許它接觸tl80.cn網站並確認你與真實世界有聯絡tl80.cn網站上面的區域證實了這一點。
當DNSSEC全面推出時,您的計算機將能夠確認DNS響應是合法的和真實的,而它目前無法知道哪些是假的,哪些是真的。
閱讀有關加密工作原理的更多資訊。
那麼,《制止網路盜版法》(更為人熟知的SOPA)是如何在這一切中發揮作用的呢?好吧,如果你遵循SOPA,你會發現它是由不懂網際網路的人寫的,所以它會以各種方式“破壞網際網路”。這是其中之一。
請記住,DNSSEC允許域名所有者簽署他們的DNS記錄。比如說,thepiratebay.se網站可以使用DNSSEC指定與其關聯的IP地址。當您的計算機執行DNS查詢時-是否谷歌網站或者thepiratebay.se網站-DNSSEC將允許計算機確定它正在接收經域名所有者驗證的正確響應。DNSSEC只是一個協議,它並不試圖區分“好”和“壞”網站。
SOPA將要求網際網路服務提供商重定向DNS查詢“壞”網站。例如,如果Internet服務提供商的訂戶嘗試訪問thepiratebay.se網站,ISP的DNS伺服器將返回另一個網站的地址,這將通知他們海盜灣已被封鎖。
有了DNSSEC,這樣的重定向將無法與中間人攻擊區分開來,而DNSSEC的目的是防止中間人攻擊。部署DNSSEC的ISP必須給出海盜灣的實際地址,因此違反了SOPA。為了適應SOPA,DNSSEC必須在其上開一個大洞,允許網際網路服務提供商和**在未經域名所有者許可的情況下重定向域名DNS請求。這將很難(如果不是不可能的話)以一種安全的方式做到,可能會為攻擊者開啟新的安全漏洞。
幸運的是,SOPA已經死了,希望它不會回來。目前正在部署DNSSEC,為這個問題提供了一個早就該解決的解決方案。
圖片來源:Khairil Yusof,Flickr上的Jemimus,Flickr上的David Holmes
...另一個更嚴重。讓我們仔細看看這兩款軟體,看看它們是如何威脅使用者的。 內容1。概述和主要區別2。什麼是恐慌3。什麼是勒索戰爭4。並列比較——Scareware與Ransomware5。摘要 什麼是安全軟體(scareware)? 恐嚇軟體主要用於欺騙...
...d Allen是/r/crapyDesign的創始人,他與MakeUseOf詳細討論了他是如何建立這個社群的。他還介紹了一些關於如何構建一個成功的subreddit的技巧。 ...
...措施。是的,一些頂級DNS提供商引入了諸如HTTPS上的DNS和DNSSEC之類的技術,但是你在那些只關注偽造你的位置的服務上找不到這些功能。 ...
...器。 拒絕服務(DoS)攻擊預防:谷歌提供DNSSEC安全作為標準。 負載平衡:共享快取提高了快取命中率。 ...
... DNSSEC是解決這些威脅的事實上的解決方案——但供應商並沒有普遍實施它。在撰寫本文時,大多數ISP都不在其DNS伺服器上提供DNSSEC。很多第三方網站,包括Google和OpenDNS,...
... 解析程式和權威伺服器之間移動的資料(理論上)受DNSSEC保護。然而,“最後一英里”——機器(稱為存根解析器)和遞迴解析器之間的部分——是不安全的。 ...
... 我經常讀到的一句話是,“我如何找到黑暗的網路?”對黑暗網路的感知是它是隱藏的,祕密的,並且遠離所有人。事實上,你可以使用Tor瀏覽器訪問黑暗的網路,任何人都可以下載並開始使用。 ...
...合法,或者它們是否**縱。 DNS快取中毒的長期解決方案是DNSSEC。DNSSEC將允許組織使用公鑰加密技術對其DNS記錄進行簽名,確保您的計算機知道DNS記錄是否應被信任,或者是否已中毒並重定向到不正確的位置。 閱讀更多:DNSSEC將...
...就是UPnP的工作原理-它信任來自本地網路的所有請求。 DNSSEC應該提供額外的安全性,但在這裡它不是萬能的。在現實世界中,每個客戶端作業系統都只信任已配置的DNS伺服器。惡意DNS伺服器可能會聲稱DNS記錄沒有DNSSEC資訊,或...
...的DNS伺服器尚未實現的安全功能。例如,Google公共DNS支援DNSSEC,以確保DNS請求得到安全簽名和準確。您的ISP的DNS伺服器可能尚未實現此類安全功能。 如果SOPA通過了,美國的DNS伺服器將不會支援DNSSEC,因為SOPA將使DNSSEC成為非法的...